CVE-2021-28680

**Nome do software vulnerável e versões afetadas:

Versões da gem devise masquerade anteriores à 1.3

Descrição:

A gem devise masquerade perde uma camada de proteção de segurança em comparação com o uso do Devise sem essa extensão, permitindo certos ataques quando o salt da senha é desconhecido. Se o valor secret key base do lado do servidor se tornar de conhecimento público, outras proteções impedem que um invasor se faça passar por qualquer usuário no site. Em um aplicativo Devise padrão, um invasor precisa conhecer o salt da senha do usuário alvo para criptografar e assinar um cookie de sessão válido. No entanto, com o devise masquerade, um invasor pode decidir a qual usuário a ação “back” irá retornar sem conhecer o salt da senha desse usuário, simplesmente sabendo o ID do usuário e manipulando o cookie de sessão.

Recomendações:

Para versões da gem devise masquerade anteriores à 1.3, atualize para a versão 1.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao valor secret key base e limitar o uso do recurso masquerade para minimizar o risco de exploração. Evite enviar valores confidenciais como secret key base para repositórios públicos.